Botnet Probeは70Gバイトの個人データ、財務データを生成する

カリフォルニア大学の研究者は、有名で強力なハッキングされたコンピュータネットワークを10日間管理し、個人データや財務データを盗む方法についての洞察を得ました。

TorpigまたはSinowalと呼ばれるボットネットは、検出が困難な悪意のあるソフトウェアを使用してコンピュータを感染させ、その後電子メールパスワードやオンラインバンキングの認証などのデータを収集する、より洗練されたネットワークの1つです。ハッカーがコンピュータを制御するために使用するコマンドと制御ネットワーク内の弱点を利用して、18万台以上のハッキングされたコンピュータを監視することができました。

[詳しい解説：Windows PCからマルウェアを削除する方法]

ハッカーがコマンドと制御の命令を更新するまで、10日間しか働かなかった。それでも、それはTorpig / Sinowalのデータ収集能力を見るための十分な窓でした。その短い時間で、ハッキングされたコンピュータから約70Gバイトのデータが収集された。研究者はデータを保存し、連邦捜査局、ISP、米国国防総省などの法執行機関と協力して犠牲者。

Torpig / Sinowalは、Outlook、Thunderbird、Eudoraなどの電子メールクライアントからユーザ名とパスワードを盗むことができ、また、収集したユーザ名とパスワードを収集することもできますこれらのプログラムの電子メールアドレスをスパマーが使用するために使用します。また、Webブラウザからパスワードを収集することもできます。

Torpig / Sinowalは、コンピュータにパッチが適用されていないソフトウェアがあるかどうかをテストするよう設計された悪意のあるWebサイトにアクセスすると、PCに感染する可能性があります。もしコンピュータが脆弱であれば、ルートキットと呼ばれる低レベルの悪質なソフトウェアがシステムの深部に押し込まれます。

Torpig / Sinowalは、ルートキットであるMebrootに最初に感染した後にシステムに終わる2007年12月頃に登場しました。

Mebrootは、コンピュータのマスターブートレコード（MBR）に感染します.MBRは、BIOSの実行後にオペレーティングシステムを起動するときにコンピュータが探す最初のコードです。

Mebrootはコンピュータに他のコードをダウンロードすることもできます。

Torpig / Sinowalは、特定のオンラインバンキングや他のWebサイトにアクセスしたときにデータを取得するためにカスタマイズされています。 PayPal、Poste Italiane、Capital One、E-Trade、およびChase銀行など、300を超えるWebサイトに対応するようにコード化されています。

銀行Webサイトに行くと、合法的なサイトの一部であるように見えるが、PIN（個人識別番号）やクレジットカード番号など、銀行が通常要求しない範囲のデータを要求する偽造されたフォームが配信される。

暗号化される前に悪意のあるソフトウェアが情報を取得するため、SSL（Secure Sockets Layer）暗号化はTorpig / SinowalのPCで使用されても安全ではない、と研究者らは書いている[

]。データを現金に変換しようとする他の犯罪者。 Torpig / Sinowalのようなボットネットを混乱させる方法があると、調査紙によると、10日間に収集された情報の価値を正確に見積もることは難しいが、83,000米ドルから830万米ドルの価値があるという。ボットネットコードには、マルウェアが新しい命令を要求するドメイン名を生成するアルゴリズムが含まれています。

セキュリティエンジニアは、マルウェアがどのドメインを呼び出すかを予測するアルゴリズムを見つけ出し、ボットネット。しかし、それは高価なプロセスです。 Confickerワームは、例えば、1日に最大50,000のドメイン名を生成することができます。

ドメイン名登録を行っているレジストラは、セキュリティコミュニティと協力する上で大きな役割を果たすべきだと、研究者らは書いている。しかし、レジストラには独自の問題があります。

「ほとんど例外なく、役割に関連するセキュリティ問題に対処するためのリソース、インセンティブ、文化が不足していることが多い」と、